毋庸置疑,智能联网化可能要比新能源,更能够代表未来汽车产业发展的趋势。但我们在享受流媒体音乐、实时交通导航等便利功能的同时,却无形使自己陷入了黑客攻击造成的潜在安全隐患中。八月份以来,从Jeep切诺基“沦陷”开始,已经陆续有其他品牌车型被爆出“安全漏洞”。一时间,围绕底层系统架构和互联汽车安全保障等方面的讨论甚嚣尘上。但熟料近日美国国会针对一项草案举行的听证会,不仅没有鼓励车企、供应商和安全研究团体合作,却似乎“有意”将这股应时而生的行业推动力量扼杀掉。
据《连线》杂志报道,美国众院能源和商务委员会今天开始对一项「美国高速公路安全管理局改革草案」举行听证,讨论是否将“个人或团体针对汽车网络安全进行的研究定论为违法行为,并将其纳入司法体系”。而众所周知,这些热衷于网络安全研究的民间人士,即我们俗称的“白帽黑客”,对促进联网汽车安全的良性发展有着积极作用。固然美国国会的做法可谓“谨慎”,但如果将实验性质的汽车数据搜集和安全操作扣上「违法」的帽子,恐怕这无益于增加消费者对汽车网络安全的信心。
△白帽黑客Charlie Miller & Chris Valasek在演示远程控制Jeep切诺基
这项改革法案是在几位白帽黑客陆续公布了某几款车型存在的安全漏洞后,草拟提请国会通过的。今年夏天,安全研究员Charlie Miller和Chris Valasek向公众展示了他们是如何通过无线“入侵”Jeep切诺基车载娱乐系统,进而通过其控制了车子的转向、刹车和传动系统。而这项安全研究的后果,不仅令克莱斯勒美国公司“被动”向车主提供了漏洞补丁解决方案,同时还“被迫”拿出大笔资金用于140万台涉事车辆的召回。
事后有人将这两位白帽黑客的一系列行为称作“故作姿态的炫技作秀”。我们暂且先不讨论二位破解Jeep切诺基的意图,有一点不可否认的是,他们发现的安全漏洞几乎在其他很多车机系统上都有。今年早些时候,有几位安全研究员公布了特斯拉Model S车载娱乐系统存在的类似安全隐患;而加州大学圣地亚哥分校的某团队甚至通过入侵一枚能联网的“软件狗”,成功控制了一辆雪佛兰克尔维特。类似的实例尽管数量不多,但足以让整个汽车产业清楚地认识到未来联网汽车发展面临的安全屏障。
据车云菌了解,早在公众意识到汽车面临黑客攻击安全隐患之前,美国议会曾在报告中披露,目前汽车行业存在大量形式各异的安全规则。例如,有部分主机厂会将车辆安全检测的工作交由第三方机构完成,而其他车企可能对此并不在意;其实绝大多数检测机构并没有能力对侵入车机系统的恶意行为进行监测。
不过可喜的是,目前美国汽车行业已经充分认识到了网络安全的重要性,并伺机成立了情报共享和分析中心(ISAC),以供内部分享安全漏洞信息。而这已经迈出的第一步,为今后智能汽车的网络安全建设奠定了基础,既有利于安全研究人士和车企建立长效的合作机制,同时也能够提升以主机厂为主的整个汽车工业的安全标准,而受益方却是所有消费者。
但无可奈何的是,原本事情已经在朝着明朗的方向发展时,却硬生生跳出了这么一个拦路虎。而摆在美国众院能源和商务委员会面前的这份「美国高速公路安全管理局改革草案」很可能会使目前取得的一些成果“功亏一篑”。假设将安全研究人员进行的代码检索、漏洞探查等工作定性为「违法」,未来联网汽车不仅更容易受到不法分子的恶意攻击,同时汽车网络安全方面的创新也可能停滞不前。而限制安全研究人员的行为对防止黑客对同一漏洞进行攻击,或者由这一漏洞进行深层次发掘,都似乎毫无裨益。
车云菌倒认为,在日益严峻的汽车网络安全形势下,政府应该在保持谨慎的同时,鼓励车企向IT产业学习,而后者更多的是选择同安全研究人员建立长效合作机制,邀请他们搜集、寻找、报告软件程序和产品中的漏洞。因为这种将专攻于网络安全的研究人员剧集麾下,经过共同商讨得到解决方案的形式,在面对黑客攻击威胁时甚为高效。所以国会不仅不应该将这些“白帽黑客”们和肆意妄为的破坏者混为一谈、一棒打死,甚至可以努力促成主机厂和民间安全研究组织的合作。